Dopo una settimana dalle prime notizie, ci sono ancora molti aspetti da chiarire sulla questione delle persone spiate tramite WhatsApp in Italia, compresi un giornalista e un attivista, attraverso un sistema di spionaggio informatico. Le spiegazioni fornite finora dal governo italiano, che dice di non avere autorizzato quelle attività, non sono state ritenute sufficienti dall’azienda e dall’opposizione, e non è ancora chiaro chi avesse ordinato il controllo dei dispositivi e per quali motivi. Rimangono inoltre aspetti da chiarire intorno a Graphite, il sistema fornito dall’azienda israeliana Paragon Solutions, che questa settimana ha interrotto i rapporti commerciali proprio con il governo italiano, sembra per una violazione delle clausole sull’uso etico dei propri sistemi.
Come altre società attive nel settore, Paragon lavora esclusivamente con i governi, ai quali offre strumenti per ottenere l’accesso a smartphone e altri dispositivi elettronici in modo da spiarne i contenuti e le comunicazioni. Servizi di questo tipo possono rivelarsi utili nelle attività antiterrorismo, per esempio, ma c’è sempre il rischio che gli stessi strumenti siano impiegati per spiare attivisti, oppositori politici, giornalisti e in generale comuni cittadini.
Il caso di cui si parla in questi giorni ha coinvolto un centinaio di persone in una decina di paesi tra cui l’Italia, dove risulta siano state spiate almeno sette persone, inclusi il direttore del giornale online Fanpage, Francesco Cancellato, e l’attivista Luca Casarini, capomissione e tra i fondatori dell’organizzazione non governativa Mediterranea. Entrambi hanno scoperto di essere stati spiati dopo avere ricevuto un messaggio da Meta, che li avvisava di attività sospette sull’applicazione WhatsApp di sua proprietà.
Per ottenere l’accesso non autorizzato a un dispositivo elettronico si possono seguire vari approcci, non solo in base alle esigenze di chi effettua l’attacco informatico, ma anche delle caratteristiche del dispositivo stesso e del software che lo fa funzionare. Le società come Paragon lavorano soprattutto sfruttando le cosiddette “falle di sicurezza” nei sistemi, cioè errori o imprecisioni nei codici informatici che possono essere sfruttati per far eseguire ai dispositivi certi compiti all’insaputa dei loro proprietari.
Le falle che garantiscono maggiori probabilità di successo sono solitamente legate alle vulnerabilità cosiddette zero day, cioè difetti in un software o in un sistema operativo che non sono stati ancora scoperti (o resi pubblici) da chi ha prodotto quei programmi. Spesso è lo sviluppatore stesso dei programmi o del sistema operativo a non esserne a conoscenza, e di conseguenza non ha ancora provveduto a diffondere aggiornamenti di sicurezza per correggere il problema.
Le zero day hanno un alto valore perché, una volta identificate, possono passare a lungo inosservate dai produttori ufficiali, dando quindi la possibilità a chi vuole sfruttarle di farlo per diverso tempo; ci sono stati casi di vulnerabilità di questo tipo che sono rimaste sconosciute per mesi o addirittura anni.
Una zero day può richiedere un lungo lavoro per essere scoperta oppure può essere acquistata a prezzi molto alti sul mercato nero, da gruppi di hacker e cracker che si occupano di cercarne di nuove. Questo è il motivo per cui sono gestite soprattutto da agenzie di intelligence o società di spionaggio che si possono permettere importanti investimenti economici. È inoltre un’attività ad alto rischio: il valore di una zero day si azzera non appena viene scoperta e sistemata da chi produce i sistemi operativi o i software interessati, rendendola inutilizzabile.
Le aziende come Paragon o altri soggetti costruiscono sulle vulnerabilità di questo tipo degli strumenti per attaccare i dispositivi che ne sono affetti, in modo da ottenere l’accesso ai loro dati. Uno dei sistemi più efficaci per farlo è attraverso un attacco zero click, che come suggerisce il nome non richiede nessuna interazione da parte dell’utente come per esempio il click su un link o l’apertura di un file allegato. La falla viene quindi sfruttata automaticamente quando il dispositivo riceve i dati inviati dall’autore dell’attacco, che vengono poi elaborati producendo effetti invisibili al suo proprietario.
Detta più semplicemente con un esempio pratico: Mario riceve una fotografia su un’applicazione per messaggi e, anche se non l’ha aperta (perché per esempio non conosce il mittente), l’app ha comunque prodotto una piccola anteprima per mostrare di che si tratta. L’applicazione lo ha fatto leggendo i dati nel file, che le hanno permesso di capire che si tratta di un’immagine e di conoscere il modo in cui decodificarla e farla apparire sullo schermo. Se però in quei dati è nascosto del codice malevolo che sfrutta una falla di sicurezza, l’applicazione lo esegue contestualmente alla produzione dell’anteprima dell’immagine, dando l’accesso all’autore dell’attacco.
Nel caso di cui si parla in questi giorni, l’ipotesi è che sia avvenuto qualcosa di simile proprio in una chat di gruppo di WhatsApp, ma le informazioni sono ancora scarse e si è inoltre parlato di un accesso più ampio ai dispositivi e ai loro backup (cioè al salvataggio automatico dei loro dati online, per recuperarli nel caso in cui si rompa o smarrisca lo smartphone).
A seconda dei casi e della gravità della zero day, l’autore dell’attacco ha comunque la possibilità di effettuare una “escalation dei privilegi”, cioè di partire da una singola funzionalità di una app o del sistema operativo per estendere poi il proprio accesso a funzionalità normalmente riservate. Può anche installare software aggiuntivo per spiare le attività svolte sul dispositivo, oppure compromettere altri dispositivi collegati alla stessa rete.
I sistemi operativi degli smartphone come iOS e Android utilizzano varie funzioni e livelli di sicurezza per ridurre i danni derivanti da un attacco zero day. Tra i tanti accorgimenti ci sono il “sandboxing”, cioè la gestione delle applicazioni in modo separato per ridurre il rischio che una app compromessa possa costituire un pericolo per le altre app, e ancora la gestione separata della memoria e la crittografia dei dati per renderli decodificabili solo se in possesso di una certa chiave. Questi accorgimenti sono stratificati e intrecciati in modo da mitigare gli effetti di un attacco, ma non sono completamente immuni dagli errori di programmazione.
A seconda del tipo di accesso ottenuto, il dispositivo può poi essere sorvegliato a lungo a distanza da chi ha effettuato l’attacco. Le società come Paragon offrono servizi come Graphite per gestire i collegamenti con quei dispositivi, decidere che dati scaricare e come tenerli sotto controllo, sempre all’insaputa dei loro proprietari. Le modalità sono decise dai clienti di Paragon, quindi governi e agenzie di intelligence, ma la società ha la possibilità di effettuare se necessario delle verifiche per assicurarsi che siano rispettate le clausole dei contratti.
Secondo varie fonti consultate dal giornale israeliano Haaretz, dall’inglese Guardian e da Repubblica, nel caso dell’Italia Paragon avrebbe riscontrato un impiego non consentito dei propri strumenti di spionaggio e per questo avrebbe deciso di interrompere i rapporti commerciali col governo italiano. La società sostiene di fornire servizi per “potenziare la difesa informatica etica”, evitando quindi utilizzi impropri per sorvegliare politici, attivisti o giornalisti. Il confine è però labile e già in passato erano stati espressi dubbi sull’estensione delle attività di sorveglianza, con sistemi simili a quelli di Paragon realizzati da società concorrenti, come NSO Group, altra azienda israeliana del settore.